T-Systems International GmbH, PSS - Professional Services & Solutions

Transkript

1 Trust Center Services TeleSec Shared-Business-CA T-Systems International GmbH, PSS - Professional Services & Solutions Zertifizierungsrichtlinie (Certificate Policy, CP) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) Version Stand Status Freigegeben öffentlich

2 Impressum Herausgeber T-Systems International GmbH Production, PSS Professional Services & Solutions Trust Center Solutions Untere Industriestraße Netphen Deutschland Dateiname Dokumentennummer Dokumentenbezeichnung Shared-Business-CA_CP- CPS_02.00.docx Zertifizierungsrichtlinie (Certificate Policy, CP) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) Version Stand Status Freigegeben Kurzinfo Zertifizierungsrichtlinie (Certificate Policy, CP) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) der PKI-Dienstleistung TeleSec Shared-Business-CA. Copyright 2013 by T-Systems International GmbH, D Frankfurt am Main Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe (einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche Einrichtungen, vorbehalten.

3 Änderungshistorie Version Stand Bearbeiter Änderungen / Kommentar Uwe Völkel Finale Abstimmung Carsten Dahlenkamp, Uwe Völkel Uwe Völkel Vollständige Überarbeitung Einarbeiten der Anforderungen der Baseline Requirements des CA/Browser Forums in der Version Uwe Völkel Einarbeitung Änderungen von Lothar Eickholt Axel Treßel Freigabe dieser Version T-Systems International GmbH Stand: Version:

4 Inhaltsverzeichnis Impressum... 2 Änderungshistorie...3 Inhaltsverzeichnis...4 Abbildungsverzeichnis Tabellenverzeichnis Einleitung Überblick PKI-Service TeleSec Shared-Business-CA Einhaltung der Baseline Requirements des CA/Browser-Forums Name und Kennung des Dokuments PKI-Beteiligte Zertifizierungsstellen Zertifizierungsstelle Shared Business CA 3 und Shared Business CA Zertifizierungsstelle Business CA Zertifizierungsstelle TeleSec Business CA 1 (in Vorbereitung) Zertifikate zur Unterstützung des PKI-Betriebs Web-Server des PKI-Service TeleSec Shared-Business-CA OCSP-Responder des PKI-Service TeleSec Shared-Business-CA Registrierungsstellen Interne Registrierungsstelle Externe Registrierungsstelle Master-Registrator Sub-Registrator Endteilnehmer (End Entity) Vertrauender Dritter Andere Teilnehmer Zertifikatsverwendung Zulässige Verwendung von Zertifikaten Sicherheitsniveau Zertifikate für Benutzer und Geräte Unzulässige Verwendung von Zertifikaten Verwaltung der Richtlinie Zuständigkeit für die Erklärung Kontaktinformationen Person, die über die Vereinbarkeit dieser Richtlinien mit der CP entscheidet Genehmigungsverfahren dieser CP/CPS Akronyme und Definitionen Veröffentlichungen und Verzeichnisdienste Verzeichnisdienste Veröffentlichung von Zertifikatsinformationen Aktualisierung der Informationen (Zeitpunkt, Frequenz) Zugang zu den Verzeichnisdiensten Identifizierung und Authentifizierung Namensregeln Namensformen Konventionen für die Bestandteile des Subject-DN Country Name (C) Organization Name (O) Organizational Unit Name 1 (OU1) Organizational Unit Name 2 (OU2) T-Systems International GmbH Stand: Version:

5 Organizational Unit Name 3 (OU3) Common Name (CN) Mail-Address User Principal Name (UPN) Fully Qualified Domain Name (FQDN) Locality Name (L) State or Province Name (ST) Street Address Postal Code Aussagekraft von Namen Pseudonymität bzw. Anonymität der Zertifikatsinhaber Regeln zur Interpretation verschiedener Namensformen Eindeutigkeit von Namen Erkennung, Authentifizierung und Rolle von Warenzeichen Identitätsprüfung bei Neuantrag Methode zum Besitznachweis des privaten Schlüssels Authentifizierung der Identität von Organisationen Authentifizierung der Identität von Endteilnehmern Registrierung eines Master-Registrators Registrierung eines Sub-Registrators Registrierung von Benutzer Registrierung von Geräten Nicht verifizierte Teilnehmerangaben Überprüfung der Berechtigung Sicherstellung der Authentizität des Zertifikatauftrages Prüfung von Domänen und IP-Adressen Zusätzliche Prüfungen des Mandanten Kriterien für Interoperabilität Identifizierung und Authentifizierung bei Anträgen auf Schlüsselerneuerung Identifizierung und Authentifizierung für routinemäßige Schlüsselerneuerung Identitätsprüfung und Authentifizierung bei Schlüsselerneuerungen nach Zertifikatssperrung Identitätsprüfung nach Ablauf des Gültigkeitszeitraums Identifizierung und Authentifizierung bei Sperranträgen Betriebliche Anforderungen im Lebenszyklus von Zertifikaten Zertifikatsantrag Wer kann ein Zertifikat beantragen? Registrierungsprozess und Verantwortlichkeiten Interne Registrierungsstelle Externe Registrierungsstelle Einrichtung des Mandanten Endteilnehmer inkl. Registrierungsstellenmitarbeiter Bearbeitung von Zertifikatsanträgen Durchführung der Identifikation und Authentifizierung Interne Registrierungsstelle Externe Registrierungsstelle Genehmigung oder Ablehnung von Zertifikatsanträgen Interne Registrierungsstelle Externe Registrierungsstelle Bearbeitungsdauer von Zertifikatsanträgen Interne Registrierungsstelle Externe Registrierungsstelle Zertifikatsausstellung Maßnahmen der Zertifizierungsstelle während der Ausstellung von Zertifikaten Interne Registrierungsstelle Externe Registrierungsstelle T-Systems International GmbH Stand: Version:

6 4.3.2 Benachrichtigung von Endteilnehmern über die Ausstellung von Zertifikaten Zertifikatsakzeptanz Annahme durch den Zertifikatsinhabers Veröffentlichung des Zertifikats durch die Zertifizierungsstelle Benachrichtigung über die Zertifikatsausstellung durch die Zertifizierungsstelle an weitere Instanzen Verwendung des Schlüsselpaars und des Zertifikats Nutzung des privaten Schlüssels und des Zertifikats durch den Zertifikatsinhaber Nutzung von öffentlichen Schlüsseln und Zertifikaten durch Vertrauende Dritte Zertifikatserneuerung (Re-Zertifizierung) Gründe für eine Zertifikatserneuerung Wer darf eine Zertifikatserneuerung beauftragen? Bearbeitung von Zertifikatserneuerungen Benachrichtigung des Zertifikatsinhabers nach Zertifikatserneuerung Annahme einer Zertifikatserneuerung Veröffentlichung einer Zertifikatserneuerung durch die Zertifizierungsstelle Benachrichtigung weiterer Stellen über eine Zertifikatserneuerung durch die Zertifizierungsstelle Schlüsselerneuerung von Zertifikaten (Re-Key) Gründe für eine Schlüsselerneuerung Wer darf die Zertifizierung eines neuen öffentlichen Schlüssels beauftragen? Bearbeitung von Schlüsselerneuerungsanträgen Benachrichtigung des Zertifikatsinhabers über die Ausstellung mit neuem Schlüsselmaterial Annahme einer Zertifikatserneuerung mit neuem Schlüsselmaterial Veröffentlichung eines Zertifikats mit neuem Schlüsselmaterial durch die Zertifizierungsstelle Benachrichtigung weiterer Stellen über eine Zertifikaterstellung durch die Zertifizierungsstelle Änderung von Zertifikatsdaten Gründe für eine Zertifikatsänderung Wer darf eine Zertifikatsänderung beauftragen? Bearbeitung von Zertifikatsänderungen Benachrichtigung des Zertifikatsinhabers über die Ausstellung eines Zertifikats Annahme einer Zertifikatserneuerung mit geänderten Zertifikatsdaten Veröffentlichung eines Zertifikats mit geänderten Daten durch die CA Benachrichtigung weiterer Stellen über eine Zertifikatserstellung durch die CA Zertifikatssperrung und Suspendierung Gründe für eine Sperrung Wer kann eine Sperrung beauftragen? Ablauf einer Sperrung Sperrvarianten Sperrung von Endteilnehmer-Zertifikaten Sperrungen von Benutzer-Zertifikaten Sperrungen von Geräte-Zertifikaten Sperrung von Registrator-Zertifikaten Sperrung eines Master-Registrator-Zertifikats Sperrung eines Sub-Registrator-Zertifikats oder deren Derivate Sperrung von Zertifikaten zur Unterstützung des PKI-Betriebs Sperrung von externen Web-Server-Zertifikaten Sperrung des OCSP-Responder-Zertifikats Fristen für einen Sperrauftrag T-Systems Service Desk Externe Registrierungsstelle und Sperrservice des Mandanten (optional) Bearbeitungsfristen der Zertifizierungsstelle für Sperranträge Überprüfungsvorgaben für Vertrauende Dritter Veröffentlichungsfrequenz von Sperrinformationen Maximale Latenzzeit von Sperrlisten Online- Verfügbarkeit von Sperr-/Statusinformationen Anforderungen an Online-Überprüfungsverfahren Andere verfügbare Formen der Veröffentlichung von Sperrinformationen T-Systems International GmbH Stand: Version:

7 Besondere Anforderungen bezüglich der Kompromittierung privater Schlüssel Suspendierung von Zertifikaten Wer kann eine Suspendierung beantragen? Verfahren der Suspendierung Beschränkung des Suspendierungszeitraums Statusauskunftsdienste von Zertifikaten Betriebseigenschaften Verfügbarkeit des Dienstes Optionale Funktionen Beendigung des Vertragsverhältnisses Schlüsselhinterlegung und Wiederherstellung Richtlinien für Schlüsselhinterlegung und wiederherstellung Sitzungsschlüsselkapselung und Richtlinien für die Wiederherstellung Gebäude-, Verwaltungs- und Betriebskontrollen Physikalische Kontrollen Standort und bauliche Maßnahmen Räumlicher Zutritt Stromversorgung und Klimatisierung Wassergefährdung Brandschutz Aufbewahrung von Datenträgern Entsorgung Externe Sicherung Organisatorische Maßnahmen Vertrauenswürdige Rollen Anzahl involvierter Personen pro Aufgabe Identifizierung und Authentifizierung für jede Rolle Mitarbeiter Interne Registrierungsstelle Mitarbeiter der Externen Registrierungsstelle Rollen, die eine Funktionstrennung erfordern Personelle Maßnahmen Anforderungen an Qualifikation, Erfahrung und Sicherheitsüberprüfung Mitarbeiter T-Systems Mitarbeiter Externe Registrierungsstelle Sicherheitsüberprüfung Mitarbeiter T-Systems Mitarbeiter Externe Regsitrierungsstelle Schulungs- und Fortbildungsanforderungen Mitarbeiter T-Systems Mitarbeiter Externe Registrierungsstelle Nachschulungsintervalle und -anforderungen Mitarbeiter T-Systems Mitarbeiter Externe Registrierungsstelle Häufigkeit und Abfolge der Arbeitsplatzrotation Sanktionen bei unbefugten Handlungen Mitarbeiter T-Systems Mitarbeiter Externe Registrierungsstelle Anforderungen an unabhängige Auftragnehmer Dokumentation für das Personal Mitarbeiter T-Systems Mitarbeiter Externe Registrierungsstelle Protokollereignisse Art der aufgezeichneten Ereignisse CA-Schlüsselpaare und CA-Systeme EE- und CA-Zertifikate T-Systems International GmbH Stand: Version:

8 Sonstige sicherheitsrelevante Ereignisse Bearbeitungsintervall der Protokolle Aufbewahrungszeitraum für Audit-Protokolle Schutz der Audit-Protokolle Sicherungsverfahren für Audit-Protokolle Audit-Erfassungssystem (intern vs. extern) Benachrichtigung des ereignisauslösenden Subjekts Schwachstellenbewertung Datenarchivierung Art der archivierten Datensätze Aufbewahrungszeitraum für archivierte Daten Schutz von Archiven Sicherungsverfahren für Archive Anforderungen an Zeitstempel von Datensätzen Archiverfassungssystem (intern oder extern) Verfahren zur Beschaffung und Überprüfung von Archivinformationen Schlüsselwechsel Kompromittierung und Wiederherstellung (Disaster Recovery) Umgang mit Störungen und Kompromittierungen Beschädigung von EDV-Geräten, Software und/oder Daten Verfahren bei Kompromittierung von privaten Schlüsseln von Zertifizierungsstellen Geschäftskontinuität nach einem Notfall Betriebesbeendigung einer Zertifizierungs- oder Registrierungsstelle Technische Sicherheitskontrollen Generierung und Installation von Schlüsselpaaren Generierung von Schlüsselpaaren Zustellung privater Schlüssel an Endteilnehmer Zustellung öffentlicher Schlüssel an Zertifikatsaussteller Zustellung öffentlicher Zertifizierungsstellenschlüssel an Vertrauende Dritte Schlüssellängen Generierung der Parameter von öffentlichen Schlüssel und Qualitätskontrolle Schlüsselverwendungen (gemäß X.509v3-Erweiterung key usage) Schutz privater Schlüssel und technische Kontrollen kryptographischer Module Standards und Kontrollen für kryptographische Module Mehrpersonenkontrolle (m von n) bei privaten Schlüsseln Hinterlegung von privaten Schlüsseln Sicherung von privaten Schlüsseln Sicherung und Wiederherstellung des Verschlüsselungsschlüssels durch Enrollment-Software Sicherung und Wiederherstellung von Soft-PSE über das Betriebssystem Sicherung und Wiederherstellung von Soft-PSE durch die Bulk-Funktion Sicherung und Wiederherstellung von Soft-PSE durch Trust Center Archivierung privater Schlüssel Übertragung privater Schlüssel in oder von einem kryptographischen Modul Speicherung privater Schlüssel auf kryptographischen Modulen Methode zur Aktivierung privater Schlüssel Endteilnehmer- und Sub-Registrator-Zertifikate (und deren Derivate) Master-Registrator-Zertifikate CA- und Root-CA-Zertifikate Methode zur Deaktivierung privater Schlüssel Methode zur Vernichtung privater Schlüssel Bewertung kryptographischer Module Andere Aspekte der Verwaltung von Schlüsselpaaren Archivierung öffentlicher Schlüssel Gültigkeitsperioden von Zertifikaten und Schlüsselpaaren Aktivierungsdaten T-Systems International GmbH Stand: Version:

9 6.4.1 Generierung und Installation von Aktivierungsdaten T-Systems Externe Registrierungsstelle Schutz von Aktivierungsdaten T-Systems Externe Registrierungsstelle Weitere Aspekte von Aktivierungsdaten Übertragung von Aktivierungsdaten Vernichtung von Aktivierungsdaten Computer-Sicherheitskontrollen Spezifische technische Anforderungen an die Computersicherheit T-Systems Externe Registrierungsstelle Bewertung der Computersicherheit Technische Kontrollen des Lebenszyklus Systementwicklungskontrollen Sicherheitsverwaltungskontrollen Sicherheitskontrollen des Lebenszyklus Netzwerk-Sicherheitskontrollen Zeitstempel Zertifikats-, Sperrlisten- und OCSP-Profile Zertifikatsprofil Versionsnummer(n) Zertifikatserweiterungen Erweiterung Schlüsselverwendung (KeyUsage) Erweiterung Zertifizierungsrichtlinien (Certificate Policies) Erweiterung alternativer Antragstellername (subjectaltname) Erweiterung Basiseinschränkungen (BasicConstraints) Erweiterung Erweiterte Schlüsselverwendung (ExtendedKeyUsage) Erweiterung Sperrlistenverteilungspunkt (CRLDistributionPoints) Erweiterung Schlüsselkennung des Antragstellers (subjectkeyidentifier) Erweiterung Stellenschlüsselkennung (authoritykeyidentifier) Erweiterung Zugriff auf Stelleninformation (Authority Information Access) Erweiterung Zertifikatsvorlagenname (Certificate Template Name) Objekt-Kennungen (OIDs) - von Algorithmen Namensformen Namensbeschränkungen Objekt-Kennungen (OIDs) für Zertifizierungsrichtlinien Objekt-Identifikatoren für Zertifizierungsrichtlinien SBCA Objekt-Identifikatoren für Zertifizierungsrichtlinien der Baseline Requirements Verwendung der Erweiterung Richtlinienbeschränkungen (Policy Constraints) Syntax und Semantik von Richtlinienkennungen Verarbeitungssemantik der kritische Erweiterung Zertifikats-Richtlinien (critical Certificate Policies) Subject-DN Serial Number (SN) Sperrlistenprofil Versionsnummer(n) Sperrlisten- und Sperrlisteneintragserweiterungen Erweiterung Stellenschlüsselkennung (authoritykeyidentifier) Erweiterung Sperrlistennummer Erweiterung Sperrgrund (Reason Code) OCSP-Profil Versionsnummer(n) OCSP-Erweiterungen Compliance-Audits und andere Prüfungen Intervall oder Gründe von Prüfungen T-Systems International GmbH Stand: Version:

10 8.2 Identität/Qualifikation des Prüfers Beziehung des Prüfers zur prüfenden Stelle Abgedeckte Bereiche der Prüfung Maßnahmen zur Mängelbeseitigung Mitteilung der Ergebnisse Sonstige geschäftliche und rechtliche Bestimmungen Entgelte Entgelte für die Ausstellung oder Erneuerung von Zertifikaten Entgelte für den Zugriff auf Zertifikate Entgelte für den Zugriff auf Sperr- oder Statusinformationen Entgelte für andere Leistungen Entgelterstattung Finanzielle Verantwortlichkeiten Versicherungsschutz Sonstige finanzielle Mittel Versicherungs- oder Gewährleistungsschutz für Endteilnehmer Vertraulichkeit von Geschäftsinformationen Umfang von vertraulichen Informationen Umfang von nicht vertraulichen Informationen Verantwortung zum Schutz vertraulicher Informationen Schutz von personenbezogenen Daten (Datenschutz) Datenschutzkonzept Vertraulich zu behandelnde Daten Nicht vertraulich zu behandelnde Daten Verantwortung für den Schutz vertraulicher Daten Mitteilung und Zustimmung zur Nutzung vertraulicher Daten Offenlegung gemäß gerichtlicher oder verwaltungsmäßiger Prozesse Andere Gründe zur Offenlegung von Daten Rechte des geistigen Eigentums (Urheberrecht) Eigentumsrechte an Zertifikaten und Sperrinformationen Eigentumsrechte dieser CP/CPS Eigentumsrechte an Namen Eigentumsrechte an Schlüsseln und Schlüsselmaterial Zusicherungen und Gewährleistungen Zusicherungen und Gewährleistungen der Zertifizierungsstelle Zusicherungen und Gewährleistungen der Registrierungsstelle Zusicherungen und Gewährleistungen des Endteilnehmers Zusicherungen und Gewährleistungen von Vertrauenden Dritten Zusicherungen und Gewährleistungen anderer Teilnehmer Haftungsausschluss Haftungsbeschränkungen Schadenersatz Laufzeit und Beendigung Laufzeit Beendigung Wirkung der Beendigung und Fortbestand Individuelle Mitteilungen und Kommunikation mit Teilnehmern Änderungen Verfahren für Änderungen Benachrichtigungsverfahren und -zeitraum Gründe, unter denen die Objekt-Kennung (Objekt ID) geändert werden muss Bestimmungen zur Beilegung von Streitigkeiten Geltendes Recht Einhaltung geltenden Rechts Verschiedene Bestimmungen T-Systems International GmbH Stand: Version:

11 Vollständiger Vertrag Abtretung Salvatorische Klausel Vollstreckung (Rechtsanwaltsgebühren und Rechtsverzicht) Höhere Gewalt Sonstige Bestimmungen A Ergänzende Literatur A.1 Rollenspezifische Handbücher B Legende C Akronyme und Begriffsdefinition C.1 Akronyme C.2 Begriffsdefinition Quellenverzeichnis Abbildungsverzeichnis Abbildung 1: Übersicht der PKI-Dienstleistung TeleSec Shared-Business-CA mit den jeweiligen Sub-CAs Abbildung 2: Übersicht der Zertifikatshierarchie der Shared Business CA und Shared Business CA Abbildung 3: Übersicht der Zertifikatshierarchie der Business CA Abbildung 4: Übersicht der Zertifikatshierarchie der TeleSec Business CA Abbildung 5: Übersicht der Zertifikatshierarchie des Webservers sbca.telesec.de Tabellenverzeichnis Tabelle 1: Issuer-DN Shared Business CA 3 und Shared Business CA Tabelle 2: Issuer-DN Business CA Tabelle 3: Issuer-DN TeleSec Business CA Tabelle 4: Zuordnung Zertifikatstypen zu Endteilnehmer Tabelle 5: Verwendung von Zertifikaten für Benutzer und Geräte Tabelle 6: Vorgaben für die Veröffentlichung von Zertifikaten Tabelle 7: Sperrvarianten Tabelle 8: Gültigkeit von Zertifikaten Tabelle 9: Zuordnung Zertifikatstypen und Templates Tabelle 10: Zertifikatsattribute nach X509.v Tabelle 11: Zuordnung der Erweiterung Schlüsselverwendung, Teil Tabelle 12: Zuordnung der Erweiterung Schlüsselverwendung, Teil Tabelle 13: Zuordnung der Erweiterung Schlüsselverwendung, Teil Tabelle 14: Zuordnung der Erweiterung alternativer Antragstellername Tabelle 15: Zuordnung der Erweiterung Basiseinschränkungen Tabelle 16: Zuordnung der Erweiterung Erweitere Schlüsselverwendung Tabelle 17: Zuordnung der Erweiterung Erweitere Schlüsselverwendung Tabelle 18: Sperrlistenattribute nach X509.v Tabelle 19: Erweiterung Sperrgrund T-Systems International GmbH Stand: Version:

12 1 Einleitung Das Trust Center wird durch die Konzerneinheit T-Systems International GmbH (im Folgenden T-Systems genannt) betrieben. Im Jahr 1998 nahm das Trust Center (unter der Bezeichnung Trust Center der Deutschen Telekom ) den Betrieb als erster Zertifizierungsdiensteanbieter auf, das über eine Akkreditierung nach dem deutschen Signaturgesetz (SigG) verfügt. Zusätzlich zu den genau festgelegten und zertifizierten Arbeitsabläufen zeichnet sich das Trust Center der T- Systems durch einen sehr hohen Sicherheitsstandard aus. Die Vertrauenswürdigkeit des eingesetzten Trust- Center-Personals ist durch öffentliche Stellen überprüft worden. Alle Dienste sind Gegenstand regelmäßiger Qualitätskontrollen. Die eingesetzte Technologie ist Stand der Technik und wird laufend durch ausgebildete Administratoren überwacht. Das Trust Center betreibt eine Reihe unterschiedlicher Zertifizierungsstellen unter verschiedenen Wurzel- Instanzen (Roots), sowohl für die Ausgabe qualifizierter als auch fortgeschrittener Zertifikate. Die Zertifizierungsstellen der Zertifikats-Dienstleistungen unterscheiden sich hinsichtlich der Anwendungskontexte für Zertifikate, der konkreten Ausprägung der technischen Schnittstellen, Registrierungsverfahren, der Zertifikatsprofile, der Prozesse bei Sperrungen, sowie der Veröffentlichung von Informationen. Sowohl die bauliche als auch die organisatorische Infrastruktur erfüllt die strengen Anforderungen des deutschen Signaturgesetzes. Zu den vom T-Systems Trust Center angebotenen Leistungen gehört unter anderem der TeleSec Public Key Service (PKS), der die Ausstellung qualifizierter Zertifikate gemäß dem deutschen Signaturgesetz (SigG) umfasst. Zusätzlich finden sich im Portfolio weitere Dienstleistungen zu unterschiedlichsten PKI-Lösungen, die nach den Vorgaben des Signaturgesetzes fortgeschrittener Signaturen entsprechen; ferner Einmalpasswortverfahren und qualifizierte Zeitstempel. 1.1 Überblick PKI-Service TeleSec Shared-Business-CA TeleSec Shared-Business-CA (im Folgenden auch SBCA genannt) ist eine zentral, im Trust Center der T- Systems, betriebene PKI-Dienstleistung zur Generierung und Verwaltung von unterschiedlichen X.509v3- Zertifikatstypen, die insbesondere Einsatz finden bei -Security, starker Authentifizierung (Client-Server), Remote-VPN, Servern und aktiven Netzkomponenten (z.b. Router, Gateways). Mit TeleSec Shared-Business-CA (SBCA) bietet T-Systems dem Kunden eine vollständige PKI-Lösung an, dessen Infrastruktur im hochsicheren T-Systems Trust Center installiert ist und von qualifiziertem Personal betrieben wird. Zur sichern Abgrenzungen und Verwaltung des eigenen Datenbestands erhält jeder Kunde, im Folgenden auch Mandant genannt, eine eigens für ihn eingerichtete Master-Domäne. Zur Abbildung der Organisationsstruktur kann er die Master-Domäne in einzelne autarke Zuständigkeitsbereiche gliedern, innerhalb dessen er selbst Zertifikate für Endteilnehmer (Benutzer, Geräte) beantragen und verwalten kann. Alle Kunden erhalten einen, per zertifikatsbasierentem SSL/TLS-Client-Authentifizierung gesicherten, dedizierten Zugang auf ihren eigenen PKI-Mandanten (Master-Domäne), um die PKI-Funktionen nutzen können. Alle sicherheitsrelevanten Aktionen erfolgen über eine verschlüsselte Verbindung. Unter dem PKI-Service TeleSec Shared-Business-CA selbst sind unterschiedliche Sub-CAs subsummiert, die auch hierarchisch unterschiedlichen Stammzertifizierungsstellen unterstehen. Um Endteilnehmer-Zertifikate mit einer Gültigkeit von 3 Jahren ausstellen zu können, wurde zum die neue Sub-CA Shared Business CA 3 in Betrieb genommen, um die Sub-CA Shared Business CA bis spätestens außer Betrieb stellen zu können. In Abbildung 1 ist die Übersicht des PKI-Service TeleSec Shared-Business-CA mit all ihren Sub-CAs grafisch dargestellt. T-Systems International GmbH Stand: Version:

13 Abbildung 1: Übersicht der PKI-Dienstleistung TeleSec Shared-Business-CA mit den jeweiligen Sub-CAs Für die jeweiligen Stammzertifizierungsstellen (Root) bestehen jeweils eigene Zertifikatsrichtlinie (engl. Certificate Policy, CP) als auch Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS). Die Zertifizierungsrichtlinie (Certificate Policy (CP)) / Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement (CPS)) des Dienstes TeleSec Shared-Business-CA (SBCA) der T-Systems beinhaltet Sicherheitsvorgaben sowie Richtlinien hinsichtlich technischer, organisatorischer und rechtlicher Aspekte und beschreibt die Tätigkeiten des Trust Center Betreibers in der Funktion als Certification Authority (CA) und Registration Authority (RA). Im Einzelnen behandelt diese CPS die folgenden Regelungen: Veröffentlichungen und Verzeichnisdienst, Authentifizierung von PKI Teilnehmern, Ausstellung von Zertifikaten, Erneuerung von Zertifikaten (Re-Zertifizierung), Sperrung und Suspendierung von Zertifikaten, bauliche und organisatorische Sicherheitsmaßnahmen, technische Sicherheitsmaßnahmen, Zertifikatsprofile, Auditierung, verschiedene Rahmenbedingungen. Das vorliegende Dokument orientiert sich an den dem internationalen Standard RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework [RFC3647] der Internet Society. Der Leistungsumfang und die Funktionalitäten der TeleSec Shared-Business-CA ist im Dokument Leistungsbeschreibung Shared-Business-CA dokumentiert. Rechtliche und kommerzielle Aspekte der TeleSec Shared-Business-CA ist im Dokument Allgemeine Geschäftsbedingungen TeleSec-Produkte dokumentiert Einhaltung der Baseline Requirements des CA/Browser-Forums Das Trust Center der T-Systems stellt sicher, dass die Root-CA Deutsche Telekom Root CA 2 und T-TeleSec GlobalRoot Class 2 mit den jeweiligen untergeordneten Sub-CAs die Anforderungen und Regelungen der jeweils aktuellen veröffentlichten Version der [CAB-BR] ( ) erfüllen und einhalten. Im Falle eines Widerspruchs zwischen dem vorliegendem Dokument und den [CAB-BR], haben die Regelungen aus den [CAB-BR] Vorrang. T-Systems International GmbH Stand: Version:

14 1.2 Name und Kennung des Dokuments Das vorliegende Dokument stellt die CP/CPS des PKI-Dienstes TeleSec Shared-Business-CA der T-Systems dar. Name: Zertifizierungsrichtlinie (Certificate Policy, CP) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) Version: Stand: Die Verwendung von Objekt-Kennungen (Object Identifier, OID) sind in Kapitel beschrieben. 1.3 PKI-Beteiligte Zertifizierungsstellen Die Zertifizierungsstelle (Certification Authority, CA) ist der Teil einer Public Key Infrastruktur, die Zertifikate ausstellt, verteilt und Prüfmöglichkeiten zur Verfügung stellt. Für SBCA stehen, unterschiedliche Vertrauensanker (Zertifikat einer Stammzertifizierungsstelle (Root-CA)) mit den korrespondierenden untergeordneten Zertifizierungsstellen (Sub-CA)zur Verfügung Zertifizierungsstelle Shared Business CA 3 und Shared Business CA Endteilnehmer-Zertifikate (z.b. für Benutzer, Server), die die Verwendung einer öffentlichen Stammzertifizierungsstelle (Public Root) erfordern, werden von dem Signer der untergeordneten Zertifizierungsstelle (Sub-CA) Shared Business CA 3 oder Shared Business CA ausgestellt. Um Endteilnehmer-Zertifikate mit einer Gültigkeit von 3 Jahren ausstellen zu können, wurde ab dem die Shared Business CA 3 in Betrieb genommen. Das Sub-CA-Zertifikat Shared Business CA wird spätesten mit Ablauf des Zertifikats am außer Betrieb gestellt. In Tabelle 1 sind die vollständigen Distinguished Names, gemäß den Namensformen nach Kapitel 3.1.1ff, der genannten Zertifizierungsstellen dargestellt. Country Name (C): DE DE Organization Name (O): T-Systems International GmbH T-Systems Enterprise Services GmbH Organizational Unit Name (OU): T-Systems Trust Center Trust Center Deutsche Telekom Common Name (CN): Shared Business CA 3 Shared Business CA Fingerabdruckalgorithmus: SHA-1 SHA-1 Fingerabdruck: 8c ef e f ca e4 4b 3c da 6c d Tabelle 1: Issuer-DN Shared Business CA 3 und Shared Business CA e 4c a 71 cd a7 f6 ba c1 In Abbildung 2 ist die Zertifikatshierarchie der Endteilnehmer-Zertifikate (außer Registrator-Zertifikate) mit dem jeweiligen Zertifikat der Stammzertifizierungsstelle (Root-CA) und der untergeordneten Zertifizierungsstelle (Sub- CA) dargestellt. T-Systems International GmbH Stand: Version:

15 Abbildung 2: Übersicht der Zertifikatshierarchie der Shared Business CA und Shared Business CA Zertifizierungsstelle Business CA Endteilnehmer-Zertifikate (z.b. für Registratoren, Benutzer (SmartCard-LogOn), Router/Gateway, Domain- Controller), die nicht die Verwendung einer öffentlichen Stammzertifizierungsstelle (Public Root) erfordern, werden von werden von dem Signer der untergeordneten Zertifizierungsstelle (Sub-CA) Business CA ausgestellt. In Tabelle 2 ist der vollständige Distinguished Name, gemäß den Namensformen nach Kapitel 3.1.1ff, der genannten Zertifizierungsstelle dargestellt. Country Name (C): Organization Name (O): Organizational Unit Name (OU): Common Name (CN): Fingerabdruckalgorithmus: Fingerabdruck: Tabelle 2: Issuer-DN Business CA DE T-Systems International GmbH T-Systems Trust Center Business CA SHA-1 8b 52 1b 55 f0 be 1c ca a5 d4 af a2 60 b In Abbildung 3 ist die Zertifikatshierarchie der Endteilnehmer-Zertifikate (inkl. Registrator-Zertifikate) mit dem jeweiligen Zertifikat der Stammzertifizierungsstelle (Root-CA) und der untergeordneten Zertifizierungsstelle (Sub- CA) dargestellt. T-Systems International GmbH Stand: Version:

16 Abbildung 3: Übersicht der Zertifikatshierarchie der Business CA Zertifizierungsstelle TeleSec Business CA 1 (in Vorbereitung) Um zukünftig für Endteilnehmer einen weiteren Vertrauensanker (Zertifikat einer Stammzertifizierungsstelle (Root-CA)) mit den korrespondierenden untergeordneten Zertifizierungsstellen (Sub-CA) anbieten zu können, befindet sich die Integration des Root-CA-Zertifikats zur Aufnahme in die gängigen Zertifikatsspeicher in Planung. In Tabelle 3 ist der vollständige Distinguished Name, gemäß den Namensformen nach Kapitel 3.1.1ff, der genannten Zertifizierungsstelle dargestellt. Country Name (C): Organization Name (O): Organizational Unit Name (OU): DE T-Systems International GmbH T-Systems Trust Center Common Name (CN): TeleSec Business CA 1 Fingerabdruckalgorithmus: Fingerabdruck: SHA-1 Tabelle 3: Issuer-DN TeleSec Business CA 1 57 a8 c5 b5 26 0e d4 c3 46 e3 f e4 f8 b8 59 In Abbildung 4 ist die geplante Zertifikatshierarchie der Endteilnehmer-Zertifikate (außer Registrator-Zertifikate) mit dem jeweiligen Zertifikat der Stammzertifizierungsstelle (Root-CA) und der untergeordneten Zertifizierungsstelle (Sub-CA) dargestellt. T-Systems International GmbH Stand: Version:

17 Abbildung 4: Übersicht der Zertifikatshierarchie der TeleSec Business CA Zertifikate zur Unterstützung des PKI-Betriebs Web-Server des PKI-Service TeleSec Shared-Business-CA Der Zugriff des Mandanten auf die PKI-Funktionen der SBCA erfolgt über die Kommunikationsplattform Internet, nach erfolgreicher Authentifizierung an der rollenspezifischen Webseite. Der Web-Server der SBCA ist mit einem SSL-Zertifikat ausgestattet, so dass alle Aktionen über das sichere Protokoll HTTPS erfolgen. In Abbildung 5 ist die Zertifikatshierarchie des Web-Servers sbca.telesec.de mit dem jeweiligen Zertifikat der Stammzertifizierungsstelle (Root-CA) und der untergeordneten Zertifizierungsstelle (Sub-CA) dargestellt. Abbildung 5: Übersicht der Zertifikatshierarchie des Webservers sbca.telesec.de T-Systems International GmbH Stand: Version:

18 OCSP-Responder des PKI-Service TeleSec Shared-Business-CA Von jeder Sub-CA werden für die Erbringung des OCSP-Service Zertifikate für den OCSP-Responder ausgestellt. Dieser Zertifikatstyp steht ausschließlich nur dem PKI-Betreiber T-Systems zur Verfügung. Technische Details zu OCSP sind in den Kapiteln 7.3 ff beschrieben Registrierungsstellen Eine Registrierungsstelle (Registration Authority, RA) ist eine Stelle, die die Authentifizierung von Zertifikatsantragstellern durchführt, Zertifikatsanträge bearbeitet (genehmigt, ablehnt, zurückgestellt), Sperranträge bearbeitet oder weiterleitet, ggf. Zertifikatserneuerungen als auch eine Sicherungskopie des Schlüsselmaterials (Soft-PSE) für einen Antragsteller erstellt. Grundsätzlich muss jede Registrierungsstelle gewährleisten, dass kein unberechtigter Endteilnehmer in den Besitz eines entsprechenden Zertifikats gelangt. Im Rahmen des PKI-Service TeleSec Shared-Business-CA sind folgende Registrierungsstellen etabliert: Interne Registrierungsstelle, die durch die T-Systems wahrgenommen wird, und Externe Registrierungsstelle(n), die beim Mandanten eingerichtet sind Interne Registrierungsstelle Die interne Registrierungsstelle wird durch die vertrauenswürdige Rolle (Trusted Role) des Trust-Center- Operator wahrgenommen, der im Trust Center der T-Systems lokalisiert ist. Weitere interne Registrierungsstellen sind nicht etabliert. Die interne Registrierungsstelle hat insbesondere folgende Aufgaben: Entgegennahme von Aufträgen und Prüfung der Identifikationsunterlagen zur Einrichtung (Konfiguration) der Master-Domäne(n) bzw. PKI-Mandanten, Einrichtung der Master-Domäne(n) und Ausstellung von Master-Registrator-Zertifikaten auf Smartcard zur Verwaltung des Mandanten, Konfiguration und Konfigurationsänderungen der Master-Domäne(n) nach erfolgreicher Prüfung der Identifikationsunterlagen, Ausstellung von weiteren Master-Registrator-Zertifikaten auf Smartcard, Sperrung von Master-Registrator-Zertifikaten. Die interne Registrierungsstelle darf auch Master-Domänen-übergreifend Master-Registrator-, Sub-Registratorund Endteilnehmer-Zertifikate sperren, sofern der Mandant dies beauftragt hat oder missbräuchliche Verwendung zu vermuten bzw. nachgewiesen ist. Damit übernimmt diese Registrierungsstelle übergeordnete Funktionen und zeigt sich für die Zulassung und den Widerruf untergeordneter Registrierungsstellen verantwortlich, die bei den Mandanten lokalisiert sind Externe Registrierungsstelle Die externe Registrierungsstelle wird durch die vertrauenswürdige Rollen (Trusted Roles) des Master- Registrators und Sub-Registrators wahrgenommen, der beim Mandanten oder vom Mandanten bevollmächtigten Dritten lokalisiert ist. Weitere interne Registrierungsstellen sind nicht etabliert. Die externe Registrierungsstelle hat insbesondere folgende Aufgaben: Entgegennahme von Zertifikatsanträge innerhalb des definierten Verantwortungsbereiches, Prüfung der Anträge nach den vorgegebenen Richtlinien (z.b. Arbeitsanweisung), Beantragung des/der Zertifikat(e) in Folge der Freigabe eines Zertifikatsantrags, oder T-Systems International GmbH Stand: Version:

19 Freigabe dieser Zertifikatsanträge nach erfolgreicher Prüfung, ansonsten Ablehnung oder Zurückstellung (Widervorlage) des Antrags, Entgegennahme des/der von der SBCA erzeugten Zertifikat(e) und Übergabe an den Zertifikatsinhaber bzw. eine autorisierte Person, Entgegennahme und Prüfung von Zertifikatssperrungsaufträgen innerhalb des definierten Verantwortungsbereiches oder ggf. Weiterleitung dieser an interne Registrierungsstelle oder Service Desk, Durchführung einer Zertifikatssperrung als Folge einer positiven Prüfung eines Sperrauftrags, und Generierung einer neuen und damit aktuellen Zertifikatssperrliste (CRL). Die externe Registrierungsstelle (Externe RA) wird auch als beauftragte Drittpartei bezeichnet, dazu zählt auch das Derivat der Registrierungsstelle eines Unternehmens (Enterprise RA). Der Unterschied zwischen Externer RA und Enterprise RA besteht darin, das letztere ausschließlich Zertifikate für das eigene Unternehmen ausstellt. Der Prozess zentrale Schlüsselsicherung steht dem Mandanten optional zur Verfügung und wird durch die vertrauenswürdige Rolle des Derivats Sub-Registrators (Kapitel ) wahrgenommen Master-Registrator Der Master-Registrator stellt die oberste Rolle einer externen Registrierungsstelle dar und liegt in der Verantwortung des Mandanten. Die Verwaltungsfunktionen stehen über der Master-Registrator-Webseite zur Verfügung. Das Master-Registrator-Zertifikat wird von T-Systems auf einer Smartcard ausgestellt (siehe Kapitel ). Der Master-Registrator hat insbesondere folgende Aufgaben: Einrichtung, Konfiguration und Verwaltung von Zuständigkeitsbereichen (Sub-Domänen), Beantragung und Abruf von Sub-Registrator-Zertifikaten für Personen, die der Mandant bestimmt, Sperrung von Sub-Registrator-Zertifikaten nach Vorliegen eines Sperrgrundes/Sperrantrags, Sperrung von Endteilnehmer-Zertifikaten nach Vorliegen eines Sperrgrundes/Sperrantrags. Die externe Registrierungsstelle liegt in der vollständigen Verantwortung des Mandanten. Mit dem Master- Registrator-Zertifikats autorisiert sich der Benutzer an der Master-Registrator-Webseite. Ferner gelten die in Kapitel beschriebenen Regelungen. Weitere Funktionen sind im Dokument Leistungsbeschreibung TeleSec Shared-Business-CA beschrieben Sub-Registrator Der Sub-Registrator stellt die unterste Rolle der externen Registrierungsstelle dar und liegt in der Verantwortung des Mandanten dar. Die Funktionen stehen nach erfolgreicher zertifikatsbasierender SSL/TLS-Client- Authentifizierung an der Sub-Registrator-Webseite zur Verfügung. Das Sub-Registrator-Zertifikat wurde vom Master-Registrator auf Smartcard oder als Soft-PSE ausgestellt (siehe Kapitel ). Der Sub-Registrator hat insbesondere folgende Aufgaben: Authentifizierung von Antragstellern, Genehmigung, Ablehnung oder Wiedervorlage von Zertifikatsanträgen nach erfolgreicher Identitätsprüfung (siehe auch Dezentrale Registrierung, Kapitel 3.2.3), Beantragung und Abruf von Endteilnehmer-Zertifikaten nach erfolgreicher Identitätsprüfung (siehe auch Zentrale Registrierung, Kapitel 3.2.3), Sperrung von Endteilnehmer-Zertifikaten nach Vorliegen eines Sperrgrundes/Sperrantrags. Das vom Master-Registrator ausgestellt Sub-Registrator-Zertifikat (inkl. Derivate) enthält einen für das PKI-System eindeutigen Namen (Common Name). T-Systems International GmbH Stand: Version:

20 Diese Registrierungsstelle liegt in der vollständigen Verantwortung des Mandanten. Mit dem Sub-Registrator- Zertifikat autorisiert sich dieser an der Sub-Registrator-Webseite. Ferner gelten die in Kapitel beschriebenen Regelungen. Als optionale Funktion steht eine Zentrale Schlüsselsicherung für Soft-PSE im Trust Center der T-Systems zur Verfügung (weitere Details sind im Dokument Leistungsbeschreibung TeleSec Shared-Business-CA beschrieben). Nur der Sub-Registrator kann das Schlüsselmaterial (Dateiendung p12 bzw. pfx) hochladen. Das Herunterladen dieser Datei und dem zugehörigen korrespondierenden Passwortdatei (Dateiendung pwd) kann ausschließlich im 4-Augen-Prinzip erfolgen. Dafür stehen zwei Derivate der vertrauenswürdigen Rollen des Sub- Registrators zur Verfügung, die mit entsprechende Rechte erweitert wurden, um diese Dateitypen dediziert herunterladen zu können. Eine Beantragung von Benutzer- oder Geräte-Zertifikaten ist hingegen nicht möglich. Folgende Derivate des Sub-Registrators stehen zur Verfügung: Sub-RA-P12 Operator Sub-RA-Pwd Operator In den nachfolgenden Kapiteln werden diese Rollen bzw. Zertifikatstypen auch als Derivate der Sub- Registratoren bezeichnet. Ein Hinzufügen dieser Rollen zum normalen Sub-Registrator-Zertifikat (SubRA und Sub-RA-P12 bzw. Sub-RA und Sub-RA-Pwd) oder die Vereinigung beider Rollen Sub-RA-P12 und Sub-RA-Pwd ist nicht möglich. Weitere Funktionen sind im Dokument Leistungsbeschreibung TeleSec Shared-Business-CA beschrieben Endteilnehmer (End Entity) Im Kontext der TeleSec Shared-Business-CA werden unter Endteilnehmer alle Zertifikatsnutzer verstanden, auf die ein Zertifikat ausgestellt werden kann und selbst keine Funktion einer Zertifizierungsstelle repräsentieren. Diese sind im Einzelnen: natürliche Personen (Benutzer, Registratoren, Rolleninhaber, Pseudonym), Personen- und Funktionsgruppen, juristische Personen (z.b. Stiftungen bürgerlichen Rechts, Körperschaften des Privatrechts wie Aktien Gesellschaften, eingetragene Vereine, Gesellschaften mit beschränkter Haftung, eingetragene Genossenschaften), Geräte (z.b. Server, Router, Gateways, Mail-Gateways, Domain-Controller, Firewalls oder andere Geräte). Um den technischen Anforderungen gerecht zu werden, bietet SBCA für die Endteilnehmer unterschiedliche Zertifikats-Templates an. Tabelle 4 zeigt die Zuordnung der Templates zu den jeweiligen Endteilnehmern. Zertifikatstyp: Benutzer Server Router-Gateway Mail-Gateway Domain-Controller Master-Registrator Sub-Registrator Endteilnehmer: natürliche Personen, Personen- und Funktionsgruppen, Pseudonym, Rolleninhaber Geräte, juristische Personen Geräte, juristische Personen Geräte, juristische Personen Geräte natürliche Personen natürliche Personen Tabelle 4: Zuordnung Zertifikatstypen zu Endteilnehmer In den folgenden Kapiteln wird weitestgehend der Namen des Zertifikatstyp als Synonym für den jeweiligen Endteilnehmer verwendet. D.h. unter Benutzer-Zertifikat werden die Zertifikate für natürliche Personen, Personen- T-Systems International GmbH Stand: Version:

21 und Funktionsgruppen, Pseudonym, Rolleninhaber subsummiert, unter Geräte-Zertifikate werden alle Server-, Router/Gateway-, Mail-Gateway und Domain-Controller-Zertifikate verstanden! Zertifikate für den OCSP-Responder fallen auch unter Endteilnehmer, werden aber an dieser Stelle nicht weiter berücksichtigt, da sie nur zur Erbringung des Service TeleSec Shared-Business-CA verwendet, nicht aber dem Kunden zur Verfügung gestellt werden. Der Verwendungszweck der Endteilnehmer-Zertifikate ist beschrieben in den Kapitel Ferner gelten die in Kapitel beschriebenen Regelungen. Im Gegensatz zu natürlichen Personen stimmt im Falle von juristischen Personen und Geräten das Subjekt (Zertifikatantragssteller) nicht mit dem Endteilnehmer überein, auf das sich das Zertifikat bezieht. Das Subjekt ist entweder der Zertifikatnehmer oder ein Gerät, das der Kontrolle des Zertifikatnehmers untersteht oder von diesem betrieben wird. Der Endteilnehmer ist Inhaber des privaten und öffentlichen Schlüssels und trägt die letztendliche Verantwortung für den Gebrauch des Zertifikats. Im Falle von natürlichen Personen stellt der Endteilnehmer gleichzeitig auch das Subjekt dar. Als Endteilnehmer ist nicht die Institution Auftraggeber/Vertragspartner oder Mandanten (z.b. Musterfirma) zu verstehen. Es ist aber dennoch möglich, dass auf diesem Repräsentant auch ein Endteilnehmer-Zertifikat ausgestellt wird (z.b. Max Mustermann für Musterfirma). Welche Bedeutung die Verwendung der Begriffe Endteilnehmer und Subjekt im Einzelfall haben, hängt daher vom Kontext ab, in dem die Begriffe verwendet werden Vertrauender Dritter Ein vertrauender Dritter (Relying Parties) ist eine natürliche Person oder Subjekt, die/das sich auf die Vertrauenswürdigkeit des von der SBCA ausgestellten Zertifikats und/oder digitalen Signatur verlässt. Unter Vertrauende Dritte werden auch beispielsweise Software-Hersteller verstanden, die Root- und Sub-CA- Zertifikate der SBCA in die Zertifikatsspeicher integrieren Andere Teilnehmer Eine Personen- und Funktionsgruppe, juristische Person als auch Gerät wird durch eine autorisierte Person repräsentiert, die vom Mandanten bevollmächtigt ist. Die autorisierte Person wird wie eine natürliche Personen identifiziert und registriert und ist verantwortlich für die sichere Verteilung, Nutzung und ggf. Sperrung des Zertifikats. Im Falle, dass die autorisierte Person nicht für die Verteilung oder Sperrung verantwortlich sein soll, wird diese Funktion auf den Rolleninhaber Schlüsselverantwortlichen übertragen. 1.4 Zertifikatsverwendung Zulässige Verwendung von Zertifikaten Zertifikate der SBCA dürfen nur im zulässigen und geltenden gesetzlichen Rahmen verwendet werden. Dies gilt insbesondere unter Beachtung der länderspezifischen geltenden Ausfuhr- und Einfuhrbestimmungen Sicherheitsniveau Bei Zertifikaten mit mittlerem Sicherheitsniveau handelt es sich um Zertifikate, die sich für die Sicherung verschiedenster Geschäftsprozesse (z.b. digitale Signatur und Verschlüsselung von s) innerhalb und außerhalb Firmen, Organisationen, Behörden und Institutionen eignen, die ein mittleres Sicherheitsniveau zum Nachweis der Authentizität, Integrität und Vertraulichkeit des Endteilnehmers erfordern. Ferner sind die Zertifikate geeignet zur Endteilnehmer-Authentifizierung an Applikationen und Netzen oder zur Authentifizierung aktiven Netzwerkkomponenten untereinander. T-Systems International GmbH Stand: Version:

22 Zertifikate für Benutzer und Geräte Diese Zertifikatstypen werden für Authentifizierung, digitale Signatur und Verschlüsselung im Rahmen unterschiedlicher Anwendungen je nach Belegung der Erweiterungen Schlüsselverwendung und Erweiterte Schlüsselverwendung und den Festlegungen der Zertifizierungsrichtlinie (Certificate Policy (CP)) / Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement (CPS)) eingesetzt. Voraussetzung ist aber, das ein Vertrauender Dritter dem Zertifikat in angemessener Weise vertrauen kann und der Verwendungszweck nicht durch gesetzlich oder auf Grund von Einschränkungen dieser Zertifizierungsrichtlinie (Certificate Policy (CP)) / Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement (CPS)) oder sonstigen Vereinbarungen verboten ist. Einige Beispiele sind: Authentifizierung im Rahmen von Kommunikationsprotokollen (z.b. SSL, IPSec, XML-SIG, SOAP), Authentifizierung im Rahmen von Prozessen (Windows Log-On, Festplattenverschlüsselung), Verschlüsselung im Rahmen von Kommunikationsprotokollen (z.b. SSL, IPSec, S/MIME, XML-ENC, SOAP), Digitale Signatur im Rahmen von Kommunikationsprotokollen (z.b. S/MIME) In Tabelle 5 ist das Sicherheitsniveaus bezogen auf die Verwendungszwecke dargestellt. Sicherheitsniveau: Verwendungszweck: Signatur und/oder Verschlüsselung Mittel Tabelle 5: Verwendung von Zertifikaten für Benutzer und Geräte Authentifizierung Unzulässige Verwendung von Zertifikaten Zertifikate der SBCA sind nicht zur Verwendung oder zur Weitergabe vorgesehen, ausgelegt oder zugelassen für Steuerungs- und Kontrolleinrichtungen in gefährlichen Umgebungen, Umgebungen in denen ein ausfallsicherer Betrieb gefordert ist (z.b. der Betrieb von nuklearen Einrichtungen, Flugzeugnavigations- oder -kommunikationssystemen, Luftverkehrs-Kontrollsystemen oder Waffenkontrollsystemen), wobei ein Ausfall zu Schäden (z.b. Personenschäden, Tod, mittleren und schweren Umweltschäden, sonstige Katastrophen) führen kann. Ferner dürfen Endteilnehmer-Zertifikate nicht als CA- oder Root-CA-Zertifikate verwendet werden. 1.5 Verwaltung der Richtlinie Zuständigkeit für die Erklärung Diese Zertifizierungsrichtlinie (Certificate Policy (CP)) / Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement (CPS)) wird herausgegeben von: T-Systems International GmbH Trust Center Services Untere Industriestraße Netphen Deutschland T-Systems International GmbH Stand: Version: